Checklista över hur du informerar när du inhämtar personuppgifter
Checklistor och instruktioner
Personuppgiftsbehandling vid studentarbeten
GDPR registrering av studentarbete/uppsats (kräver inloggning)
Örebro universitet är ansvarigt för de personuppgiftsbehandlingar som våra studenter gör inom ramen för sina studier. Det innebär att du som student har en skyldighet att informera om bland annat på vilket sätt du kommer att använda dig av personuppgifter du samlar in vid exempelvis en uppsats. Denna skyldighet gäller så länge som personen av någon annan anledning inte redan känner till detta, exempelvis för att personen fått informationen tidigare (vilket i så fall måste utredas och dokumenteras om detta undantag ska användas).
För vem
Denna checklista är framtagen för dig som är student och kommer att använda dig av personuppgifter i ditt arbete eller projekt. Checklistan är tänkt att underlätta när du ska sammanställa den information som du enligt dataskyddsförordningen är skyldig att ge till den vars personuppgifter du kommer att hantera. Denna person är i texten och i checklistan kallad ”den registrerade”.
Det är aldrig tillräckligt att enbart hänvisa till att ”jag följer gällande lagstiftning avseende personuppgifter” eller liknande utan fullständig information ska lämnas vid insamlingen. Tänk på att du måste skriva koncist, klart och tydligt samt att informationen ska anpassas till den registrerade. Det finns även en rätt att få informationen muntligen, om den registrerade hellre vill det.
Checklistans indelning
Beroende på om du får informationen direkt från en registrerad (exempelvis vid en intervju eller enkätundersökning, vid registrering av ett konto, vid ett fotograferingstillfälle m.m.) eller om du får den på annat sätt (hämtar upp betyg via databaser, kontrollerar adresser mot folkbokföringen, uttag ur patientjournaler m.m.) ser kravet på information något olika ut.
Detta dokument är därför uppdelat enligt följande:
- Gemensam information som alltid ska ges.
+ antingen informationen enligt punkterna nedan. - Specialregler vid information som ska ges om personuppgifter samlas in direkt från den registrerade.
- Specialregler vid information som ska ges om personuppgifterna samlas in, men inte direkt från den registrerade.
Läsanvisning
Vill du ändra ordningen för hur du lägger upp informationen, hur du skriver ihop det etc. går det givetvis bra men se till att inte glömma någon punkt, om den ska vara med. Det är även viktigt att du använder ett bra språk och att det är läsvänligt
Kontakt vid frågor samt förbehåll
Vid frågor eller funderingar angående checklistorna och vad de tar upp (och vad som eventuellt har utelämnats), vänd dig i första hand till din handledare, kursansvarige eller liknande alternativt till din institutions dataskyddssamordnare.
Gemensam information
Grundläggande information
- Vem som är personuppgiftsansvarig och ge kontaktuppgifter till denne och, när det går, den fysiska person som kan företräda den personuppgiftsansvarige.
Vanligtvis är Örebro universitet personuppgiftsansvarig men kontrollera detta särskilt. Ibland kan det vara ett samarbete där flera är personuppgiftsansvariga och ibland kan det vara någon annan som är ansvarig och vi gör insamlingen som en del i ett uppdrag m.m.
En fysisk person bör vara den som är ansvarig för exempelvis kursen som studentarbetet sker på. - Namn på och kontaktuppgifter till dataskyddsombudet, e-post och telefonnummer.
Kontrollera på Örebro universitets hemsida vem som är dataskyddsombud. - Anledningen till den användning av personuppgifterna som kommer att ske samt den rättsliga grunden för denna.
När det gäller studentarbeten är det i princip enbart samtycke som kan vara aktuellt som grund för behandlingen. Beskriv kortfattat användningen så att den registrerade kan förstå hur dennes information kommer att hanteras. Vid osäkerhet angående vilket regelverk som gäller, kontakta i första hand kursansvarige, handledare eller motsvarande som i sin tur även kan kontakta universitetets juristfunktion eller dataskyddsombud. - Vem som kommer att få ta del av personuppgifterna eller vilka funktioner som kommer att använda sig av dem.
Exempelvis enbart du som student eller om ni är flera, ev. examinator för verifiering av resultat etc. - Om det är aktuellt att överföra personuppgifterna till tredje land, dvs ett land utanför EU/EES eller till en internationell organisation ska det informeras om detta och vilket stöd som finns för den överföringen. Observera: Att publicera något på webben innebär inte per automatik att det överförs till tredje land. Läggs det upp på sociala medier är det däremot ofta fråga om en sådan överföring som ska informeras om eller att samla information i en molntjänst. Då detta område är svårt är det klokt att ta stöd i dessa frågor. Kontakta i första hand handledare, kursansvarige eller motsvarande för rådgivning om vad som gäller för överföring till tredje land/internationella organisationer.
Information för att säkra en rättvis och transparent behandling
- Hur länge personuppgifterna kommer att sparas, eller, om det inte är möjligt att ange, vad som styr längden på lagringen.
Ex. studentarbetets längd, om det är aktuellt att återanvända materialet till ytterligare uppsatser/arbeten etc. Vid osäkerhet, kontakta primärt kursansvarige, handledare eller motsvarande som i sin tur även kan kontakta Örebro universitets arkivarie för rådgivning. - Att det finns en rätt att få tillgång till och, när så är möjligt, få rättelse eller radering av personuppgifter eller begränsning av den behandling som rör den registrerade eller att invända mot behandlingen. Rätten till dataportabilitet (att den insamlade informationen enkelt ska kunna överföras) ska också upplysas om när så är aktuellt.
Dataportabilitet kan vara aktuellt om du t.ex. tar fram en app för att underlätta en servicetjänst. Rätten till dataportabilitet finns för att göra det lättare för individer att byta exempelvis bank eller försäkringsbolag m.m. - OM användningen av personuppgifterna grundar sig på samtycke ska det informeras om att det finns en rätt att när som helst återkalla sitt samtycke och hur detta rent praktiskt ska ske. Dessutom ska information lämnas om att en återkallelse inte påverkar lagligheten av användning av personuppgifter som gjorts innan detta skedde.
Information som har samlats in med stöd av samtycke innan återkallelse skett får alltså fortsätta att användas. Däremot får inte ny information samlas in. - Individen ska informeras om att den har rätt att lämna klagomål på användningen av dennes personuppgifter. Antingen kan detta ske till Örebro universitets dataskyddsombud eller direkt till Integritetsskyddsmyndigheten som är tillsynsmyndighet.
- OM personuppgifterna måste lämnas på grund av att det är ett lag- eller avtalskrav eller nödvändigt för att kunna gå in i ett avtal ska detta upplysas om särskilt. Också om det är så att individen är skyldig att lämna informationen och om det finns möjliga konsekvenser av att inte lämna uppgifterna.
Exempelvis om du inom ramen för ett studieprojekt tar fram ett beställningsformulär och det krävs vissa uppgifter för att ett avtal ska anses ha ingåtts.
Annat syfte
OM du tänker använda personuppgifterna för ett annat syfte än vad de ursprungligen samlades in för ska den registrerade, innan denna ytterligare användning sker, informeras om detta samt övrig information som är relevant enligt avsnittet om information för att säkra en rättvis och transparant behandling.
Specialregler vid information som ska ges om personuppgifter samlas in direkt från den registrerade
NÄR personuppgifterna samlas in, inte efteråt, ska du informera den registrerade. Det innebär att det inte är tillåtet att först samla in informationen och sedan informera, informationen ska redan ha getts innan exempelvis en fotografering, filmning, testsession eller intervju börjar.
Specialregler vid information som ska ges om personuppgifterna samlas in, men inte direkt från den registrerade
Möjliga undantag från informationsskyldigheten
OM något av undantagen används, se till att dokumentera detta tillsammans med åtminstone en kort motivering om varför information inte behöver lämnas.
- Om det är omöjligt att ge den information som denna checklista innehåller eller om det skulle medföra en oproportionell ansträngning, framförallt aktuellt vid användning av personuppgifter vid arkivering, forskning och statistisk.
Vad som är en oproportionell ansträngning avgörs i första hand av den personuppgiftsansvarige men det kommer att växa fram en praxis på området när väl tillsynsmyndighetens granskningar kommer igång. - Om att ge den grundläggande informationen i checklistan sannolikt skulle göra det omöjligt eller avsevärt försvåra uppfyllandet av målen med själva användningen av personuppgifterna.
Exempelvis att ett studentarbete inte skulle gå att genomföra.
I ovanstående fall ska Örebro universitet istället vidta ”lämpliga åtgärder” för att skydda den registrerades rättigheter och friheter och berättigade intressen, inklusive att göra uppgifterna tillgängliga för allmänheten. Det kan exempelvis innebär att publicera information om den tänkta behandlingen i dagstidningar, på webbsidor m.m. Diskutera gärna detta med handledare eller kursansvarige som i sin tur kan kontakta institutionens dataskyddssamordnare för ytterligare rådgivning.
Om inget undantag är tillämpligt är du skyldig att ge den registrerade informationen i checklistans del 1 med tillägg under grundläggande information om vilka personuppgifter som samlas in och används.
Tidpunkt för information
Informationen ska ges vid olika tidpunkter, beroende på situation:
- Inom en rimlig period efter det att du har fått personuppgifterna, dock senast inom en månad. Vid bedömningen av vad som är rimligt får hänsyn tas till eventuella särskilda omständigheter angående på vilket sätt personuppgifterna används.
- Om personuppgifterna ska användas för att kontakta den registrerade ska informationen ges senast vid tidpunkten för den första kontakten.
- Om ett utlämnande till en annan mottagare kan förutsättas ska information lämnas senast när personuppgifterna lämnas ut för första gången.